我要评论spring boot拦截器(interceptor)与过滤器(filter)深度解析:区别、实现与实战指南
一、核心概念对比
1. 本质区别
| 维度 | 过滤器(filter) | 拦截器(interceptor) |
|---|---|---|
| 规范层级 | servlet规范(j2ee标准) | spring mvc框架机制 |
| 作用范围 | 所有请求(包括静态资源) | 只处理controller请求 |
| 依赖关系 | 不依赖spring容器 | 完全集成spring ioc容器 |
| 执行顺序 | 最先执行(在dispatcherservlet之前) | 在dispatcherservlet之后执行 |
| 异常处理 | 无法直接使用spring的异常处理机制 | 可以通过@controlleradvice统一处理 |
2. 执行流程示意图
http request ↓ filter chain(dofilter) ↓ dispatcherservlet ↓ interceptor.prehandle ↓ controller method ↓ interceptor.posthandle ↓ view rendering(如有) ↓ interceptor.aftercompletion ↓ filter chain(返回响应)
二、过滤器(filter)开发指南
1. 基础实现方式
@component
public class logfilter implements filter {
@override
public void dofilter(servletrequest request, servletresponse response,
filterchain chain) throws ioexception, servletexception {
long starttime = system.currenttimemillis();
httpservletrequest req = (httpservletrequest) request;
// 前置处理
system.out.println("request uri: " + req.getrequesturi());
chain.dofilter(request, response); // 放行请求
// 后置处理
long duration = system.currenttimemillis() - starttime;
system.out.println("request completed in " + duration + "ms");
}
}2. 高级配置技巧
@configuration
public class filterconfig {
@bean
public filterregistrationbean<logfilter> loggingfilter() {
filterregistrationbean<logfilter> registration = new filterregistrationbean<>();
registration.setfilter(new logfilter());
registration.addurlpatterns("/api/*");
registration.setorder(ordered.highest_precedence); // 设置优先级
return registration;
}
}典型应用场景:
- 请求日志记录
- 全局字符编码设置
- 跨域处理(cors)
- xss防御过滤
- 请求内容压缩/解压
三、拦截器(interceptor)开发指南
1. 标准实现模板
@component
public class authinterceptor implements handlerinterceptor {
@override
public boolean prehandle(httpservletrequest request,
httpservletresponse response,
object handler) throws exception {
string token = request.getheader("authorization");
if (!validatetoken(token)) {
response.senderror(401, "invalid token");
return false; // 中断请求
}
return true;
}
@override
public void posthandle(httpservletrequest request,
httpservletresponse response,
object handler,
modelandview modelandview) throws exception {
// controller方法执行后,视图渲染前
}
@override
public void aftercompletion(httpservletrequest request,
httpservletresponse response,
object handler,
exception ex) throws exception {
// 请求完全结束后(包括视图渲染)
}
}2. 注册拦截器配置
@configuration
public class webconfig implements webmvcconfigurer {
@autowired
private authinterceptor authinterceptor;
@override
public void addinterceptors(interceptorregistry registry) {
registry.addinterceptor(authinterceptor)
.addpathpatterns("/**")
.excludepathpatterns("/login", "/public/**");
}
}典型应用场景:
- 接口权限验证
- 请求参数预处理
- 接口耗时监控
- 敏感操作日志
- 数据绑定前校验
四、核心差异深度解析
1. 执行顺序对比实验
配置多个过滤器和拦截器时的执行顺序:
filter1 → filter2 → interceptor.prehandle → controller → interceptor.posthandle → interceptor.aftercompletion → filter2 → filter1
2. 异常处理差异
// 在过滤器中处理异常
public void dofilter(...) {
try {
chain.dofilter(request, response);
} catch (exception e) {
response.senderror(500, "server error");
}
}
// 在拦截器中处理异常
@controlleradvice
public class globalexceptionhandler {
@exceptionhandler(exception.class)
public responseentity<?> handleexception(exception e) {
return responseentity.internalservererror().body("error occurred");
}
}3. 异步请求处理
// 拦截器需实现asynchandlerinterceptor
@override
public void afterconcurrenthandlingstarted(httpservletrequest request,
httpservletresponse response,
object handler) {
// 异步请求的特殊处理
}五、最佳实践与选型策略
1. 技术选型决策树
是否需要处理静态资源?
├─ 是 → 必须使用filter
└─ 否 →
是否需要访问spring bean?
├─ 是 → 选择interceptor
└─ 否 →
是否需要最早处理请求?
├─ 是 → 选择filter
└─ 否 → 根据业务复杂度选择2. 性能优化建议
- 过滤器:避免在过滤器中做复杂业务逻辑
- 拦截器:prehandle方法尽量轻量化
- 两者都应避免:
- 同步阻塞操作
- 频繁的io操作
- 大对象的内存操作
3. 常见陷阱规避
- 过滤器:
- 忘记调用chain.dofilter()导致请求阻塞
- 修改请求参数未使用wrapper类
- 拦截器:
- 在posthandle中修改modelandview导致npe
- 异步请求中误用aftercompletion
六、实战案例演示
案例1:接口耗时监控系统
// 拦截器实现
public class metricsinterceptor implements handlerinterceptor {
private static final threadlocal<long> starttime = new threadlocal<>();
@override
public boolean prehandle(...) {
starttime.set(system.currenttimemillis());
return true;
}
@override
public void aftercompletion(...) {
long duration = system.currenttimemillis() - starttime.get();
metricsservice.recordrequesttime(request.getrequesturi(), duration);
starttime.remove();
}
}案例2:全局防重放攻击过滤器
public class replayattackfilter implements filter {
private cache<string, boolean> requestcache =
caffeine.newbuilder().expireafterwrite(5, timeunit.minutes).build();
@override
public void dofilter(...) {
string nonce = request.getheader("x-nonce");
if (requestcache.getifpresent(nonce) != null) {
response.senderror(400, "duplicate request");
return;
}
requestcache.put(nonce, true);
chain.dofilter(request, response);
}
}七、扩展知识
1. 与aop的区别
- aop:
- 基于代理模式实现
- 可以精确控制到具体方法
- 更适合业务层面的切面处理
- 拦截器:
- 基于handlermapping实现
- 主要针对http请求生命周期
- 更适合web层通用处理
2. 高级应用场景
- 过滤器链:实现责任链模式
- 拦截器栈:组合多个拦截逻辑
- 动态启用/禁用:结合配置中心实现
总结建议
- 优先使用拦截器处理web层通用逻辑
- 保留过滤器用于底层请求处理
- 复杂场景可以组合使用两者
- 生产环境务必进行性能压测
通过合理运用过滤器和拦截器,开发者可以构建出高可维护性的web应用架构。建议结合apm工具(如skywalking)监控两者的执行效率,持续优化系统性能。
到此这篇关于spring boot拦截器(interceptor)与过滤器(filter)深度解析:区别、实现与实战指南的文章就介绍到这了,更多相关spring boot拦截器与过滤器内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论